Win32.Troj.Gpigeon简介_Win32.Troj.Gpigeon个人资料_Win32.Troj.Gpigeon微博_百科网
A-A+

Win32.Troj.Gpigeon简介_Win32.Troj.Gpigeon个人资料_Win32.Troj.Gpigeon微博

2016-11-30 06:21:37 科学百科 阅读 3 次

概述/Win32.Troj.Gpigeon 编辑

  

病毒别名:TrojanSpy.Win32.Delf.dv【AVP】
处理时间:
威胁级别:★★
中文名称:黑鸽子
病毒类型:木马
影响系统:Win9x / WinNT

病毒行为:/Win32.Troj.Gpigeon 编辑

该病毒通过创建自启动服务来达到开机运行的目标,而通常做法是通过修改注册表的启动项来实现,使得病毒更隐蔽。该病毒运行之后会将自己复制到系统安装目录,并启动为开机运行的服务“simple tip ip server”,同时释放一个用来开始后门DLL文件。它修改IE设置,将IE主页改为“about:blank”,禁止IE检查是否默认主页,禁止网络链接向导等,以防止病毒开启IE时被用户发觉。然后它就在后台将IE启动为服务,再将释放的DLL文件加载到IE中,以逃过防火墙的检测。然后通知攻击者病毒的存在,让攻击者连接中毒电脑并控制该电脑。


1.创建互斥体Gpigeon_Shared_MUTEX防止病毒的多个实例运行。

2.将自己复制为%SystemRoot%server.exe,并将其加载为自动运行的系统服务“simple tip ip server”,同时还释放Dll文件server.dll,该文件大小为659968。

3.修改注册表:
添加主键以及表项,用来启动服务“simple tip ip server”:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessimple tip ip server
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="%SystemRoot%server.exe"
"DisplayName"="simple tipip server"
"ObjectName"="LocalSystem"
"Description"="simple tip ip server"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessimple tip ip serverSecurity
"Security"=<系统相关的十六进制代码>

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessimple tip ip serverEnum
"0"="Root\LEGACY_SIMPLE_TIP_IP_SERVER\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_SIMPLE_TIP_IP_SERVER】
"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_SIMPLE_TIP_IP_SERVER000
"Service"="simple tip ip server"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"=""
"DeviceDesc"="simple tipip server"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_SIMPLE_TIP_IP_SERVER000Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="simple tip ip server"

修改IE设置:
HKEY_USERS.DefaultSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
"Connwiz Admin Lock"=dword:00000001
"Check_If_Default"=dword:00000000

HKEY_USERS.DefaultSoftwareMicrosoftInternet ExplorerMain
"Start Page"="about:blank"
"default_page_url"="about:blank"
"First Home Page"="about:blank"
"Check_Associations"="no"

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain
"Check_Associations"="no"

4.将IEXPLORE.EXE启动为服务,并将server.dll注入到该进程中,病毒以IEXPLORE.EXE身份访问网络,通知外界攻击者,然后开启后门,让攻击者链接并控制中毒电脑。